La normativa de protección de datos no es una formalidad administrativa que se resuelve con una cláusula insertada en una página web. En el marco regulatorio vigente en España, el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) imponen a la empresa un sistema activo de cumplimiento: documentado, revisable y demostrable ante la Agencia Española de Protección de Datos (AEPD). Para las empresas radicadas en Sevilla y en el conjunto de Andalucía, el reto es doble: construir un programa sólido y mantenerlo actualizado frente a una autoridad de supervisión que ha incrementado de forma sostenida su actividad sancionadora.
La primera pregunta que plantea cualquier dirección es la más sencilla: ¿qué obliga la norma? La respuesta práctica no se limita a informar al usuario de que se recogen sus datos. El RGPD construye un sistema de responsabilidad proactiva que la doctrina denomina accountability: la empresa no solo debe cumplir, sino poder demostrarlo en cualquier momento.
En nuestra experiencia asesorando a empresas en España, los cuatro pilares operativos que la dirección debe garantizar son los siguientes.
A estas obligaciones se suman, cuando el volumen o el tipo de tratamientos lo requiere, la designación de un Delegado de Protección de Datos (DPD) y la realización de una evaluación de impacto relativa a la protección de datos (EIPD). Esta última es obligatoria cuando el tratamiento puede entrañar un alto riesgo para los derechos y libertades de las personas.
Esta es la creencia errónea más extendida entre los directivos que todavía no han iniciado un proceso de adaptación real. La cláusula de privacidad – o la política publicada en el sitio web – es un instrumento de información al interesado. Es necesaria. Pero es solo una de las piezas del sistema.
La AEPD no exige únicamente que se informe al usuario. Exige que la empresa acredite, en cualquier momento y ante cualquier inspección o reclamación, que sus tratamientos son lícitos, que sus medidas de seguridad son adecuadas y que sus contratos con terceros son conformes. Una política de privacidad, por bien redactada que esté, no sustituye al registro de tratamientos, no documenta las medidas de seguridad y no reemplaza los contratos con encargados.
Hemos implantado programas de protección de datos y compliance en empresas tecnológicas, industriales y de salud. En todos los casos, la primera fase – la de auditoría de la situación real – revela tratamientos no documentados, contratos inexistentes con proveedores de tecnología y protocolos de respuesta a incidentes que nunca fueron aprobados por la dirección.
El coste de esa ausencia no es abstracto. La AEPD puede iniciar un procedimiento de oficio o a instancia de un interesado. La empresa que no puede acreditar su cumplimiento parte en desventaja en cualquier inspección, aunque en la práctica jamás haya incurrido en un uso indebido de los datos.
Uno de los errores estratégicos más costosos que observamos en nuestra práctica es la gestión reactiva de la protección de datos: se actúa cuando ya hay un incidente, una reclamación o una notificación de la AEPD. Para entonces, el margen de maniobra es mucho más reducido.
La dirección de una empresa en Sevilla – sea industrial, tecnológica, del sector salud o del sector servicios – debe tomar decisiones preventivas en tres ámbitos.
Una brecha de seguridad es cualquier incidente que ocasione la destrucción, pérdida, alteración, comunicación no autorizada o acceso indebido a datos personales. El plazo legal para notificarla a la AEPD es de 72 horas desde que se tiene conocimiento de ella. Este plazo es breve. Sin un protocolo previamente aprobado, difícilmente puede cumplirse.
El protocolo debe identificar quién detecta y escala el incidente, quién toma la decisión de notificar, qué información se incluye en la notificación y cómo se comunica a los afectados cuando así lo exige la norma. En ausencia de ese documento, la empresa improvisa en el peor momento posible.
La AEPD tiene en cuenta, en la determinación de las sanciones, si la empresa notificó proactivamente y si disponía de medidas organizativas previas. El protocolo documentado es, por tanto, un instrumento de gestión del riesgo sancionador, no solo un requisito formal.
Las empresas sevillanas que operan en sectores como la salud, los recursos humanos con sistemas de vigilancia, el marketing basado en perfilado o la gestión de grandes volúmenes de datos deben plantearse si alguno de sus tratamientos exige una evaluación de impacto (EIPD). Esta evaluación es obligatoria cuando el tratamiento puede suponer un alto riesgo, y la AEPD ha publicado criterios orientativos sobre los supuestos que la requieren.
No realizarla cuando resulta preceptiva constituye una infracción autónoma, independientemente de que el tratamiento en sí sea lícito.
La normativa española obliga a determinadas empresas a disponer de un canal de denuncias interno para la comunicación de infracciones. Este canal, cuando gestiona datos de los denunciantes o de los denunciados, es en sí mismo un tratamiento de datos personales que debe estar documentado, con sus propias medidas de seguridad y sus propias bases de legitimación.
La intersección entre el canal de denuncias, el compliance penal y el RGPD es un ámbito que en nuestra práctica genera con frecuencia dudas operativas en la dirección: ¿qué datos se pueden conservar? ¿Durante cuánto tiempo? ¿Quién tiene acceso? Resolver estas preguntas antes de implantar el canal – y no después de una reclamación de un denunciado – es la decisión correcta.
El RGPD no fija un calendario único de implantación para las empresas. Sí establece plazos concretos para determinados hitos operativos que la dirección debe tener presentes.
El plazo de 72 horas para la notificación de brechas ya se ha mencionado. A él se añade el plazo de un mes para responder a los derechos de los interesados – acceso, rectificación, supresión, oposición, limitación y portabilidad – con posibilidad de prórroga de dos meses adicionales cuando la complejidad o el volumen de solicitudes lo justifique. Incumplir estos plazos genera infracción directa, aunque la empresa no haya negado el derecho en cuestión.
Desde el punto de vista del calendario interno, un programa de adaptación realista en una empresa mediana con múltiples tratamientos se estructura en fases sucesivas: auditoría de la situación actual, elaboración del registro de tratamientos y revisión de bases jurídicas, redacción o actualización de contratos con encargados, implantación de medidas técnicas y organizativas, formación del personal con funciones de acceso a datos, y elaboración de los protocolos de respuesta a incidentes y atención de derechos. Cada fase tiene sus propios entregables y validaciones.
La experiencia de nuestra firma indica que las empresas que abordan la adaptación de forma ordenada, con una hoja de ruta clara y un responsable interno designado, cumplen los hitos en un plazo razonable y con un esfuerzo organizativo asumible. Las que lo abordan de forma parcial o reactiva, en cambio, acumulan pendientes que se convierten en pasivos regulatorios latentes.
La pregunta es legítima y la respuesta debe ser directa. Una empresa con sede en Sevilla que trata datos personales sin un programa de cumplimiento documentado enfrenta, al menos, cuatro categorías de riesgo que la dirección debe valorar.
La AEPD puede iniciar actuaciones de oficio o a raíz de una reclamación de cualquier interesado. Las infracciones se clasifican en leves, graves y muy graves, con sanciones que la normativa califica en función de criterios como el número de afectados, la intencionalidad, las medidas adoptadas para mitigar el daño y la colaboración con la autoridad de control. El RGPD establece umbrales máximos elevados; la AEPD aplica criterios de proporcionalidad, pero las sanciones a empresas de tamaño medio son una realidad documentada en la actividad pública de la agencia.
La AEPD publica sus resoluciones. Una sanción por ausencia de medidas de seguridad o por tratamiento ilícito de datos es accesible a clientes, proveedores e inversores. En mercados donde la confianza es un activo, el impacto reputacional puede superar con creces el importe de la sanción económica.
Cada vez con mayor frecuencia, los clientes empresariales – especialmente los de mayor tamaño y los de sectores regulados – exigen a sus proveedores acreditar el cumplimiento del RGPD antes de firmar un contrato o renovarlo. Una empresa que no puede presentar su registro de tratamientos ni sus contratos de encargo pierde oportunidades comerciales concretas.
Una brecha sin protocolo es el escenario de mayor exposición. La empresa debe notificar en 72 horas, pero si no tiene identificado el incidente, documentadas las medidas existentes ni designado un responsable de gestión, el plazo se incumple y la infracción se agrava. El programa de cumplimiento es, en este sentido, un seguro operativo.
Nuestro enfoque parte de la situación real de la empresa, no de un modelo estándar. La adaptación al RGPD no es un producto de caja: un despacho de arquitectura en Sevilla, una empresa industrial del Polígono de La Cartuja, una clínica del sector salud o una empresa de software con clientes en toda Europa tienen perfiles de tratamiento de datos, estructuras contractuales y niveles de riesgo completamente distintos.
En una primera fase, realizamos una auditoría de cumplimiento que permite a la dirección conocer con precisión cuál es su situación real, qué brechas existen y cuál es la prioridad de acción. Esta auditoría es el documento de trabajo que guía las fases siguientes.
A continuación, desarrollamos los entregables del programa: registro de tratamientos, políticas de privacidad y protocolos internos, revisión y redacción de contratos con encargados, protocolo de brechas, procedimiento de atención de derechos y, cuando procede, evaluación de impacto y asesoramiento sobre la designación del Delegado de Protección de Datos. El canal de denuncias y su integración en el modelo de compliance penal son servicios complementarios que abordamos de forma coordinada cuando la empresa lo requiere.
Trabajamos con la dirección, no solo con el departamento jurídico. La protección de datos es una materia que afecta a decisiones de tecnología, de recursos humanos, de marketing y de operaciones. Un programa eficaz requiere que esas áreas comprendan sus obligaciones y las integren en su operativa diaria.
Si su empresa opera en Sevilla y no ha realizado una revisión formal de su situación en materia de protección de datos, le invitamos a plantearnos su caso en info@velardevidal.com. El primer análisis orientativo le permitirá evaluar con información real cuál es su exposición actual.
Esta es la tercera tesis que cualquier dirección debería interiorizar antes de posponer el inicio del programa. El coste de la adaptación es función del momento en que se acomete.
Una empresa que inicia el proceso en ausencia de incidentes y sin presión regulatoria puede planificarlo con calma, distribuir el esfuerzo en el tiempo y construir un programa sólido. Una empresa que inicia el proceso tras recibir una reclamación de un interesado, tras detectar una brecha de seguridad o tras recibir una comunicación de la AEPD opera bajo presión, con plazos comprimidos y con la necesidad de acreditar medidas que todavía no ha implantado.
En nuestra experiencia, la diferencia en términos de coste y de complejidad entre ambos escenarios es considerable. El programa construido de forma preventiva tiene un coste predecible y controlable. El programa construido bajo presión regulatoria, además del coste propio de la implantación, lleva asociado el coste de la gestión del procedimiento, la posible defensa ante la AEPD y, en su caso, el impacto reputacional.
Hay un elemento adicional que la dirección valora con frecuencia: la existencia de un programa de cumplimiento documentado es un factor que la AEPD pondera en la determinación de la sanción cuando se produce una infracción. Una empresa que puede acreditar que disponía de un registro de tratamientos, de un protocolo de brechas y de medidas de seguridad proporcionales parte de una posición sustancialmente mejor que aquella que no puede presentar ninguno de esos documentos.
La lógica del asesoramiento temprano no es la de evitar el cumplimiento: es la de gestionarlo de la forma más eficiente posible para la empresa.
Sevilla concentra un tejido empresarial diversificado: sector aeronáutico y de defensa, industria agroalimentaria, servicios tecnológicos, turismo y hospitalidad, sector salud y servicios profesionales. Cada uno de estos sectores presenta un perfil de tratamiento de datos con sus propias particularidades.
El sector salud trata categorías especiales de datos – datos de salud – que exigen medidas de seguridad reforzadas y en muchos casos la realización de una evaluación de impacto. El sector tecnológico, con frecuencia, transfiere datos a proveedores de servicios en la nube radicados fuera de la Unión Europea, lo que activa las normas sobre transferencias internacionales. Las empresas agroalimentarias que gestionan datos de empleados, proveedores y distribuidores deben formalizar un registro de tratamientos que con frecuencia es más extenso de lo que anticipa la dirección.
La inversión extranjera en Andalucía y en Sevilla también genera situaciones específicas: matrices extranjeras que exigen a sus filiales españolas acreditar el cumplimiento del RGPD como condición de auditoría interna o de renovación de seguros. En estos casos, la adaptación no solo es una obligación regulatoria española: es un requisito contractual del grupo.
Nuestra práctica en Sevilla atiende estos perfiles desde una perspectiva de empresa: no solo redactamos documentos, sino que acompañamos a la dirección en las decisiones que afectan a la organización real del tratamiento de datos.
A modo de referencia práctica, los elementos mínimos que debe poder acreditar una empresa con programa de cumplimiento activo son los siguientes.
Ninguno de estos elementos es un fin en sí mismo. Todos forman parte de un sistema cuya eficacia depende de que funcione de forma integrada y de que la dirección lo mantenga actualizado cuando cambian los tratamientos, los proveedores o el contexto regulatorio.
La protección de datos y el compliance penal son prácticas que en nuestra firma se trabajan de forma coordinada. Un canal de denuncias que cumple con el RGPD exige, al mismo tiempo, decisiones de compliance penal sobre su alcance, su gestión y sus protocolos de investigación interna. Le invitamos a explorar nuestra práctica completa de protección de datos y compliance, donde encontrará información sobre todos los servicios que ofrecemos en este ámbito.
Si su empresa opera en varias ciudades españolas, también puede consultar nuestra página de adaptación al RGPD en Valladolid para entender cómo abordamos este servicio en contextos empresariales de distintas regiones. Asimismo, si su empresa gestiona software o plataformas tecnológicas, la guía sobre tecnología y software: cómo gestionar derechos aborda las intersecciones entre propiedad intelectual y el tratamiento de datos en entornos digitales.
Para una primera valoración, escríbanos a info@velardevidal.com.
Plantear mi casoEste contenido es informativo y no constituye asesoramiento jurídico. Para un análisis de su situación, contacte con info@velardevidal.com.